A poco più di due mesi fa dalla segnalazione delle prima presunta vulnerabilità di Samsung Pay, smentita fermamente da Samsung, il ricercatore Salvador Mendoza lancia un nuovo allarme. Se nel caso precedente la vulnerabilità era legata al sistema MST (Magneti Secure Transmission), la nuova problematica sarebbe legata ai pagamenti effettuati tramite NFC.

Mendoza mostrerà pubblicamente la vulnerabilità la prossima settimana, nel corso della Ekoparty Security Conference in programma in Argentina, ma ha già contattato Samsung per segnalare la cosa. Il colosso sud coreano non ha rilasciato, per il momento, alcuna dichiarazione ma potrebbe aver già risolto il problema con una opportuna patch.

Ancora una volta la vulnerabilità permette ad un malintenzionato di appropriarsi del token generato al momento del pagamento con Samsung Pay per effettuare acquisti in qualunque esercizio accetti pagamenti NFC. Ovviamente sarà necessario che lo smartphone del ladro, visto che di furto si tratta, sia posizionato nelle immediate vicinanze del sistema di pagamento ed esegua un’apposita applicazione.

Lo smartphone in ascolto provoca un errore nello smartphone dell’utilizzatore di Samsung Pay che è costretto ad autorizzare nuovamente la transazione, generando il token della durata di 24 ore che viene prontamente memorizzato dal malintenzionato. Lo stesso Mendoza è riuscito correttamente ad effettuare un pagamento in un negozio, senza incontrare alcuna difficoltà.